Saturday, March 15, 2008

How Many Burning Homes

I mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of host integrity assessment in my post Controls Are Not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Solution to Our Problem. The idea is to sample live devices (laptops, desktops, servers, routers, switches -- anything that runs a network-enabled operating system) to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are trustworthy. (They may be trusted, but that does not make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m trustworthy.)

I described how I might determine trustworthiness, or integrity, in Three Capabilities, Three Companies. I'd like to expand on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se thoughts with five metrics. Before showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security metrics, I'd like to introduce an analogy.

Imagine a city with an understaffed, under-resourced, and possibly unappreciated fire department. The FD would like to prevent fires, but it spends most of its time responding to fires. How should city leadership decide how to staff and resource cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FD? (There is no way to eliminate fires, at least no way that could ever be financed using any foreseeable resources. Even if people lived in concrete cells with no furnishings, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would probably figure out a way to light each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground on fire!)

In this situation, one might argue that one way to judge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 peril of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FD to "manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fires." In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is some number of burning homes that can be maintained while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FD responds, contains, and extinguishes fires. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FD is large enough cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of fires can be rapidly decreased such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to extinguish is very small. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FD is too small, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n eventually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole city burns because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fires overwhelm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FD's ability to respond, contain, and extinguish.

The question becomes what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "right" number? You could think in terms of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following metrics.

  1. Number of burning homes at any sampled time. The higher this number, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fire will spread.

  2. Average length of time any home is burning. Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 higher this number, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fire will spread.

  3. Average time from detection to response. This measures how fast cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FD arrives on site.

  4. Average time from response to recovery. This measures how effective cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FD is fighting fires.

  5. Average property value of burning homes. One would be less concerned if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 burning homes are abandoned or condemned, and more concerned if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are inhabited.


I do not consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of arsonists here. That is relevant but it brings into question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police to deter, investigate, apprehend, prosecute, and incarcerate threats. The FD cannot fight arsonists directly.

Now let's turn to digital security. While it's easy to spot a fire, identifying a "burning" (i.e., compromised) computer can be more difficult. If we could do that via host integrity assessment, we could imagine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following metrics.

  1. Number of compromised computers at any sampled time. This is a statistically valid sample.

  2. Average length of time any computer is compromised. Answering this quesiton requires a forensic investigation to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point in time where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion is most likely to have happened.

  3. Average time from detection to response. This measures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion detection program.

  4. Average time from response to recovery. This measures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRT and provisioning personnel.

  5. Average asset value of compromised computers. Again, a lot of owned low-value assets might not be a big problem.


So what do you do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se numbers? First, I recommend just collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Second, take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to business owners and ask if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation is acceptable. For example:

  • Is it acceptable to have 25% of a business' computers compromised? 50% 10%? 5%?

  • Is it ok for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to be owned for 6 months? 1 day? 2 years?

  • Is it ok for us to take 6 months to notice? 2 hours? 2 days?

  • Is it ok for us to take 1 week to recover? 1 day? 1 month?

  • Is it ok for us to be suffering compromise on development servers? Call center PCs? Human resources databases?


Note on arsonists: you should be able to tell that "arsonists" are intruders. Since most companies can't reduce threats directly, IRTs are in exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same position as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FD.

Note on prevention: you can extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fire analogy to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r areas. Fire resistance is like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time required for a red team to penetrate a target. Applying fire retardants is like blue teams taking countermeasures upon discovering vulnerabilities.

Finally, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se answers we can make decisions to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metrics. For example, a firefighter could say "increase my staff by two people per shift, and buy this new fire engine, and I can change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metrics this way." In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital realm, a security analyst could say "increase my staff by two people per shift, and buy this new sensor grid, and I can change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metrics this way."

You could also try to influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prevention side by saying "change all antivirus software from vendor A to vendor B, and change all local users from administrators to unprivileged users" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metrics change.

The manager is now in a position where spending influences metrics, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failure to spend could result in an unacceptable answer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question "How many burning homes?"

8 comments:

Anonymous said...

Richard,

Great approach to determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk tolerance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of carrying it too far, I would encourage you to think about changing your analogy, though. Houses wouldn't directly correspond to what Exec. Mgmt. cares about -cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value tied to a specific process. So instead of using "houses" I'd use public facilities (Is it OK to let schools burn down, and not hospitals? What about Police Stations?) and corporations (can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 city operate without grocery stores? What about gas stations?). Houses might be more like desktops, maybe.

By tying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business process it supports instead of platform or IP address, business owners can generally correlate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worth of groups of (or individual) assets to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tolerance for risk.

Anton Chuvakin said...

Disagree - not a good approach in many env since:

# Is it acceptable to have 25% of a business' computers compromised? 50% 10%? 5%?

# Is it ok for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to be owned for 6 months? 1 day? 2 years?

Many would say 'yes - as long as we can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m too' (or 'no, but we won't spend on this so - yes')

# Is it ok for us to take 6 months to notice? 2 hours? 2 days?

Many would say 'yes - as long as we can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m too' (or 'no, but we won't spend on this so - yes')


# Is it ok for us to take 1 week to recover? 1 day? 1 month?


Many would say 'yes - as long as we can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m too' (or 'no, but we won't spend on this so - yes')


# Is it ok for us to be suffering compromise on development servers? Call center PCs? Human resources databases?

Few would say yes, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n - it is 'yes as long as nobody knows AND we can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems'....


Please, please debate me :-)

Richard Bejtlich said...

Hi Anton,

I think this approach works very well. For a site like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one you describe, where essentially no one cares cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems are owned, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers are yes, any amount; yes, any duration; yes, any time; yes, any time; yes, any system. In such a situation I would probably look to get anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r job because we have specifically defined that no one cares about integrity in such an organization. That's a lawsuit waiting to happen, especially if any regulations apply.

Anton Chuvakin said...

Correct, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyword seems to be "waiting..." to happen. Will it be waiting? Or will it actually happen?

Anonymous said...
This comment has been removed by a blog administrator.
Michael H Buselli said...

I agree with Anton. A company that is "waiting" will keep "waiting" until its hand is forced. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, in that case, it is true what Richard said: one should find a new place to work. If your company does not care for properly protecting its assets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should not be satisfied working cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

Richard Bejtlich said...

Michael, let me make a little more subtle point: if your risk tolerance is tighter than your company's, you will be frustrated and not happy. If that delta is too big, you should probably consider anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r job.

Anonymous said...

Good Job! :)